{"id":298035,"date":"2024-08-01T17:11:39","date_gmt":"2024-08-01T15:11:39","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=298035"},"modified":"2024-08-01T17:13:11","modified_gmt":"2024-08-01T15:13:11","slug":"vmware-esxi-schwachstelle-cve-2024-37085-viele-systeme-angreifbar-und-sind-solche-funde-zufall","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2024\/08\/01\/vmware-esxi-schwachstelle-cve-2024-37085-viele-systeme-angreifbar-und-sind-solche-funde-zufall\/","title":{"rendered":"VMware ESXi Schwachstelle CVE-2024-37085: Viele Systeme angreifbar; und sind solche Funde "Zufall"?"},"content":{"rendered":"

\"Sicherheit[English]Sicherheitsexperten von Microsoft haben ja gerade die Auth Bypass-Schwachstelle (CVE-2024-37085) offen gelegt. Diese erm\u00f6glicht Angreifern,vollst\u00e4ndige administrative Berechtigungen auf mit einer Dom\u00e4ne verbundenen ESXi-Hypervisoren zu erhalten. Die Schwachstelle wird von mehreren Ransomware-Betreibern ausgenutzt, um  ESXi-Installationen anzugreifen. Es sind eine Menge VMware ESXi-Systeme weltweit mit dieser Schwachstelle in Betrieb und \u00f6ffentlich erreichbar. Leider gibt es f\u00fcr \u00e4ltere ESXi-Versionen keine Sicherheitsupdates. Zudem stellt sich die Frage, wie man solche Schwachstellen eigentlich finden kann. Hier noch eine kurze Nachlese zum Sachverhalt.<\/p>\n

<\/p>\n

Die VMware ESXi Schwachstelle CVE-2024-37085<\/h2>\n

\"\"Seit 2023 beobachtet Microsoft Ransomware-Kampagnen, die auf VMware ESXi-Instanzen zielen. Nach Analyse solcher Angriffe ist man darauf gekommen, dass sich bei ESXi-Instanzen in einer Dom\u00e4ne eine Gruppe namens \"ESX Admins\" und auch Benutzer neu anlegen lassen, ohne dass es administrative Berechtigungen ben\u00f6tigt. Das Ganze wurde mit einem CVE 3.0-Index von 6.8 bewertet. <\/p>\n

Dieser Befund wurde Anfang 2024 an VMware gemeldet. Ich hatte \u00fcber die Details im Blog-Beitrag Microsoft entdeckt VMware ESXi Auth Bypass-Schwachstelle CVE-2024-37085<\/a> berichtet. Singlethreaded weist in diesem Kommentar<\/a> darauf hin, dass VMware ESXi 7 noch bis 2025 Support erh\u00e4lt – es gibt wohl Support bis 2. Oktober 2025. <\/p>\n

<\/a><\/p>\n

Aber diese Version 7 wird kein Update erhalten, um die Schwachstelle zu schlie\u00dfen, wie aus diesem Support-Dokument<\/a> hervorgeht. Betroffene m\u00fcssen die in den Supportbeitr\u00e4gen beschriebenen Ma\u00dfnahmen zur Abschw\u00e4chung der Angriffsm\u00f6glichkeiten durchf\u00fchren. <\/p>\n

\u00dcber 20.000 ESXi-Systeme per CVE-2024-37085 angreifbar<\/h2>\n

Die Sicherheitsexperten der Shadowserver Foundation haben zum 30. Juli 2024 einen Scan des Internets auf \u00fcber CVE-2024-37085 angreifbare VMware ESXi-Systeme durchgef\u00fchrt. Nachfolgender Tweet<\/a> zeigt die Verteilung – insgesamt wurden 20.275 angreifbare Instanzen gefunden. Die USA, Frankreich und Deutschland (114) sind tief rot eingef\u00e4rbt und gut dabei. Aber auch China, Kanada, Russland und der Iran haben wohl eine Menge angreifbarer Systeme in Betrieb. <\/p>\n

\"<\/a><\/p>\n

Da die Schwachstelle von Ransomware-Gruppen seit 2023 ausgenutzt wird, besteht eine gewisse Wahrscheinlichkeit, dass wir demn\u00e4chst weitere Opfer verzeichnen k\u00f6nnen, die erstaunt feststellen, dass sich \"Besucher im Netzwerk tummeln\". <\/p>\n

Schwachstellen: Die Nadel im Heuhaufen finden<\/h2>\n

Im Fall des ESXi-Servers stie\u00dfen Sicherheitsexperten von Microsoft eigentlich nur durch Zufall auf die Schwachstelle CVE-2024-37085, als sie Ransomware-Vorf\u00e4lle untersuchten.  Der Kommentar hier<\/a> deutet an, dass das Verhalten des ESXi-Servers eigentlich schon l\u00e4nger bekannt sein musste. Wie es auch immer sei, es stellt sich die Frage, wie solche Schwachstellen – m\u00f6glichst vor einer Ausnutzung – eigentlich zuk\u00fcnftig gefunden werden sollten.<\/p>\n

Richard Werner, Security Advisor bei Trend Micro, <\/i>vergleicht das Auffinden von Schwachstellen \"mit einer Pilzsuche\" und merkt an, dass die Aufdeckung dieser Schwachstelle bereits am 25. Juni 2024 erfolgte. Beim Patch-Tuesday am 9. Juli 2024 hat Microsoft dann eine ganz \u00e4hnliche Sicherheitsl\u00fccke f\u00fcr den firmeneigenen Hypervisor \u201eWindows Hyper-V\"<\/a> geschlossen. Auch diese wird bereits von Angreifern ausgenutzt und sollte entsprechend gepatched werden. Werner fragt daher: Ist das ein Zufall? Nachfolgend sein Kommentar zum aktuellen Vorfall.<\/p>\n

Einzelfall oder \u201ePattern\"<\/h3>\n

Einen Einzelfall zu beschreiben ist das eine. Die H\u00e4ufigkeit mit der \u00e4hnliche Sicherheitsl\u00fccken in verschiedenen Programmen auftauchen, das andere. Am besten kann man die aktuelle Herausforderung im Patchmanagement mit dem Pilze sammeln vergleichen. Jeder, der das schon einmal getan hat, wei\u00df, dass Pilze jedes Jahr am selben Fleck zu finden sind und auch, dass es eine gute Idee ist, die unmittelbare Umgebung nach weiteren Exemplaren abzusuchen. <\/p>\n

Genauso l\u00e4uft es in der Sicherheitsforschung. Wird eine spannende Sicherheitsl\u00fccke entdeckt, werden \u00e4hnliche Programme durchsucht. Aber auch beim selben Programm wird nach dem erfolgreichen Patch gepr\u00fcft, ob das Problem nicht doch irgendwie ausgenutzt werden kann. Sicherheitsforscher auf beiden Seiten der Ethikgrenze gehen so vor. Je mehr ein Patch als Reaktion auf einen bereits stattfindenden Angriff erfolgt (Stichwort \u201eZero Day\"), desto wahrscheinlicher ist es, dass in seiner unmittelbaren Umgebung \u201enoch etwas zu finden ist\". Schlie\u00dflich musste der betroffene Hersteller schnell reagieren, um seine Kunden zu sch\u00fctzen und hat dabei vielleicht etwas \u00fcbersehen. <\/p>\n

Alle Jahre wieder<\/h3>\n<\/p>\n

Was im gew\u00e4hlten Beispiel relativ kurzfristig erscheint, ist keineswegs nur darauf beschr\u00e4nkt. So machte beispielsweise eine Sicherheitsl\u00fccke in der Software \u201eMoveIT\" 2023 von sich reden. Mehr als 1000 Unternehmen weltweit verloren Daten und die dahinterstehende Gruppierung \u201eClop\" erlangte Millionen. Fast ein Jahr sp\u00e4ter, im Juni 2024<\/a>, gab es erneut Anzeichen einer Ausnutzung in MoveIT und im Juli 2024 warnte<\/a> der Hersteller \u201eProgress\" vor einem weiteren Bug in seiner Software. <\/p>\n

Auf beiden Seiten wurde geforscht und es wurden Schwachstellen gefunden \u2013 In einem Fall waren die Angreifer schneller, das andere Mal die Sicherheitsforscher. Pilzkenner werden jetzt darauf hinweisen, dass genau das der Grund ist, warum Sammelstellen \u201eFamiliengeheimnisse\" sind und niemandem verraten werden. So aber funktioniert die IT-Sicherheit nicht. Gibt es Angriffe auf Schwachstellen, m\u00fcssen Opfer gewarnt werden \u2013 je gef\u00e4hrlicher, desto lauter. Leider erfahren dadurch auch die \u201eanderen\" davon und der Fundort bleibt nicht geheim. <\/p>\n

Risikomanagement Patchen<\/h3>\n<\/p>\n

Der Umgang mit Sicherheitsl\u00fccken wird dadurch zum dauerhaften Problem, das immer mehr Arbeitszeit verschlingt, und man bekommt das Gef\u00fchl dieselbe Software immer wieder patchen zu m\u00fcssen. Dar\u00fcber hinaus nimmt die Gef\u00e4hrlichkeit der Herausforderung zu. Laut dem \u201eKnown exploited vulnerability<\/a>\"-Katalog wird aktuell alle drei Tage eine neue Sicherheitsl\u00fccke hinzugef\u00fcgt. Patches bzw. Updates bergen dagegen eigene Risiken, ein Test ist deshalb sinnvoll und, je nach Compliance-Standard, oft auch vorgeschrieben. <\/p>\n

Um die Sache in den Griff zu bekommen, empfiehlt sich deshalb ein risikobasierter Ansatz mit klarer Priorisierung bei der Vorgehensweise und Erkennungssystem falls Angreifer doch schneller sind. IT-Sicherheitshersteller haben darauf reagiert, indem sie Ans\u00e4tze anbieten, diese Art Risikomanagement mit Werkzeugen der Angriffserkennung zu kombinieren.<\/p>\n","protected":false},"excerpt":{"rendered":"

[English]Sicherheitsexperten von Microsoft haben ja gerade die Auth Bypass-Schwachstelle (CVE-2024-37085) offen gelegt. Diese erm\u00f6glicht Angreifern,vollst\u00e4ndige administrative Berechtigungen auf mit einer Dom\u00e4ne verbundenen ESXi-Hypervisoren zu erhalten. Die Schwachstelle wird von mehreren Ransomware-Betreibern ausgenutzt, um  ESXi-Installationen anzugreifen. Es sind eine Menge VMware … Weiterlesen →<\/span><\/a><\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[426,7459,14],"tags":[4328,3836,4299],"class_list":["post-298035","post","type-post","status-publish","format-standard","hentry","category-sicherheit","category-software","category-virtualisierung","tag-sicherheit","tag-software","tag-virtualisierung"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/298035","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=298035"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/298035\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=298035"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=298035"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=298035"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}